11月5日上午,中测安华网络流量追溯系统(数湖)发布会举行,中测安华研发总监田斌现场发布了“数湖”产品,该产品是国内首款针对大容量、长周期的原始流量回溯平台。发布会现场行业相关领导、专家和媒体悉数到场,数湖产品惊艳亮相。
中测安华研发总监田斌
中测安华的愿景是用系统方法让网络世界更安全!当我们用系统方法做一些大型项目时,客户经常会问:系统建好后,能不能让我们自己也能发现APT攻击? 很显然,客户的期望不仅仅是一套系统的交付,更希望是一种能力的转移。基于此初心,中测安华推出了网络流量追溯系统(数湖)产品。
一、预防APT攻击需要高维度的“上帝视角”
高级威胁攻击的本质特征是降维打击与对抗升级。APT攻击者在技术和思维上都处于较高的维度,导致受害者无法全面了解攻击过程及攻击手法,同时攻击者不断保持自己高维的优势,使得对抗过程将不断升级。
为有效预防APT攻击,防御系统需要具备高维度、上帝视角和正反馈的特征。所谓高维度就是争取和攻击者站在一个维度,并且要拥有上帝的视角来剖析整个攻击过程,发现攻击组织的特征及防御系统的弱点,弥补缺陷,提升自身的对抗能力。
1、高维度
图1 | 图2 | 图3 |
APT攻击好比是一个迷宫(图1),攻击的手段及过程非常复杂,如果以二维的角度去看这个迷宫,攻击的线路是无法得知的。目前的防御系统试图站在三维的角度去观察迷宫(图2),但是由于高度有限(基础数据不足),只能观察到迷宫中的零星线索,无法了解整个迷宫线路。只有站的高才能看得远,如果可以以上帝的视角去观察迷宫(图3),整个攻击线路便一清二楚。
2、正反馈
能够从失败中吸取经验,是学习的捷径。只有从被攻击的过程发现攻击方法、弥补防御弱点,通过不断的学习弥补,才能提升APT的对抗能力。这就要求防御系统具备强大的事后溯源能力,使分析人员具备穿越的能力,可以随时复现整个攻击过程。
二、常见安全产品难以应对APT攻击
纵观安全产品的整个演化过程,可以发现大多是在功能和算力上进行提升,并没有在高维度和正反馈方面做出本质上的变化。这些安全产品在数据层面基本上属于上层数据,存在大量数据的损耗。大部分产品更多的是解决大概率的威胁事件,针对APT攻击这种小概率的威胁事件,只有拥有大量的基础流量数据,才能站在更高的维度,以上帝视角观察整个攻击过程。
三、数湖——国内首款针对大容量、长周期的原始流量回溯平台
针对上述问题,中测安华提出了“流量+”的概念,针对海量的原始流量回溯进行重点技术攻关,解决当前方案中留存的基础性的“大流量”问题,并可以无缝嵌入到已有的监测/防御体系中,扩展原有系统的功能、提升原有系统的能力。
1、产品介绍
网络流量追溯系统(数湖)是中测安华自主研发的一款软硬件一体化的创新性产品,该产品是国内首款针对大容量、长周期的原始流量回溯平台,已在多个政府级、防务级的大型项目中经过实施验证。
数湖 Logo
该产品定位是安全的“神经中枢”,可以连接不同的安全产品,共筑安全生态圈。
2、产品性能
数湖产品可以实时抓取100Gbps原始流量数据;数据存储时长长达180天,存储量可达100PB,由于分布式的部署方式,数据存储量可以横向扩展;在大规模的数据量下,可以完成目标数据的秒级查询。
3、市场定位
目标客户:关注APT攻击的目标群体:国家级、政府级及企业级的客户。
目标用户:分析人员、运维人员和取证人员。
用户需求:
- 在高级威胁事件发生后,能够协助分析人员还原事件的整个过程,从中获得证据与线索;
- 了解攻击者、攻击途径及攻击技术,有助于组织针对薄弱点作出有针对性的安全防护;
- 同时可以评估攻击的受害程度及范围,及时作出应对措施。
4、产品优势
- PB级数据秒级检索
- 分布式灵活部署
- 丰富的图表统计
- 友好的交互设计
5、用户价值
- 数据取证与责任判定:大规模的原始流量资源池为安全事件的分析及回查提供依据,有助于整个网络攻击过程“像素级”还原,供分析人员分析及研判。
- 积累流量数据资产:接收多渠道、多类型的全流量数据,进行统一管理及归档。长时间存储原始流量数据以备日后进行事件追溯及分析,或采用更新技术进行深度分析。
- 感知流量全局态势:对全流量及过滤流量数据进行多维度聚合统计分析,通过图形化直观展现流量整体态势,快速评估威胁的危害程度及范围。
- 提升数据利用价值:提供开放的数据共享接口,与受信任的第三方系统友好对接,各系统发挥自身优势,共同赋能业务数据分析及线索挖掘,使数据价值最大化。
中测安华高级安全专家李季现场演示数湖系统
发布会上,中测安华总经理姚轶崭全面介绍了中测安华的发展历程、现状及未来的布局方向。
中测安华总经理姚轶崭
技术总监姚原岗详细讲解了中测安华首创的持续风险监测技术体系。数湖产品是持续风险监测体系中协同联动的关键环节。
中测安华技术总监姚原岗
“数湖”发布后,现场专家和记者对“数湖”产品及中测安华的定位方向等进行了提问,内容摘录如下:
- IT168:数湖是一款软硬化一体的产品,这款产品能否在云端部署?
答:这款产品主要针对防务级的客户,所以设计为软硬件一体。我们在研发时也能够适配多种类型的硬件服务器。整个系统是分布式部署,其系统架构能够适配云上部署。同时能够支撑原生态的对象存储,如果用户有大规模的对象存储,我们能够直接使用用户提供的存储空间,能够为用户节省成本,做到资源共享,真正实现“云”的概念。
- 中国信息安全:产品愿景提到了产品和第三方系统的响应联动,可以具体说明一下吗?
答:目前产品是基于API接口,现在安全人员基本是基于SOC进行分析。数湖可以根据安全事件的一些通联信息直接调用系统,查询相关的流量并进行下载。我们产品的愿景是希望能将流量进行高速的回放,这样市面上所有的安全检测类产品都可以作为数湖产品的功能扩展,从而推进安全生态的提升。
- 嘶吼:数湖产品是自己的威胁情报库,还是与第三方联合?新的威胁变种能否及时更新到自己的库里方便进行检测?网络安全资产的盘点,如设备云办公等场景变化,数湖能否监测到?
答:我们希望能够共同把安全生态建设好,发挥各家的优势,数湖则发挥安全中枢的功能,比较开放的第三方平台,我们可以支持联合;针对远程办公的场景,“南北向”流量及加密的“东西向”流量,数湖都可以实现监测。
- 安全牛:该款产品叫网络流量追溯系统,那么面对正在发生的APT攻击是怎样应对的?
答:针对有线索的APT攻击,我们能够对系统进行全面的回溯,了解受害的范围和受损的程度,实现“秒”级查询,并让我们的安全运营人员进行迅速的响应和处置。
- 数说安全:流量追溯系统更侧重事后追查,监测系统更侧重事前事中的筛查,这两套系统如何配合?
答:我们公司有专业的团队专注研发安全监测系统。我们基于主动防御的手段在事前进行威胁的防御,如针对暴露面Web及邮件的主动防御,相当于给系统打了疫苗,可以免疫一些类型的攻击;数湖系统会将已经发生的攻击事件形成日志,用户可以通过日志查询我们的流量系统,做到联动分析。
- 中国信息安全:防务级装备及持续风险监测的概念我是第一次听说。中测安华来为什么提出持续风险监测的概念?刚才产品发布中提到,中测安华的产品想做“安全中枢”,能否做成?
答:“持续风险监测”是一个学术化的词,如何将其商业化需要我们的实践和探索。第一,“持续”是时间概念的持续,威胁长期潜伏且不易被察觉,我们需要体系与体系间的对抗,用持续的风险监测来对抗和抵御威胁;第二,“监测”是空间上的概念,需要全面感知同时协同防御;第三,时间与空间共同组成的风险,考验的是对系统复杂性的把控。
中测安华提出“持续风险监测”是由我们所处的位置和我们所具备的实力决定的。我们以国家使命为主导,构建安全的生态网络为国家利益服务——这是我们所处的位置;我们多年的技术储备、大型工程实践和商业模式的探索——这是我们所具备的实力。我们为了成为“安全枢纽”进行了多年的努力,一系列的实践验证了我们的方向,我们必将继续努力开拓前行。
评论